Trend Micro’daki siber güvenlik araştırmacıları, Windows, Linux ve VMware ESXI sistemlerini hedefleyen, gelişmiş gizleme teknikleri ve sofistike platformlar arası yetenekleri kullanarak yeni ve tehlikeli bir Lockbit Fidye Yazılım çeşidi keşfettiler.
Gelişmiş çok platform saldırı stratejisi
Lockbit 5.0, üç kritik bilgi işlem platformu için özel varyantları içeren fidye yazılımı tehditlerinde önemli bir evrimi temsil eder.
- Windows varyantı, ETW yama ve güvenlik hizmetlerinin otomatik olarak sona erdirilmesi dahil olmak üzere sofistike anti-analiz yöntemleri uygularken, yükünü DLL yansıması yoluyla yükleyerek ağır gizleme ve paketleme tekniklerini kullanır.
- Linux varyantı, TrendMicro tarafından bildirildiği gibi, saldırganların belirli dizinleri ve dosya türlerini hedeflemelerine izin veren komut satırı seçenekleriyle benzer işlevleri korur.
- En önemlisi, özellikle VMware sanallaştırma altyapısını hedefleyen ve saldırganların tüm sanal makine ortamlarını tek bir yürütme ile şifrelemelerini sağlayan ESXI varyantıdır.
Tüm varyantlar, algılama sistemlerinden kaçınırken hasarı en üst düzeye çıkarmak için tasarlanmış kritik davranışsal özellikleri paylaşır.
Fidye yazılımı, şifrelenmiş dosyalar için randomize 16 karakterli dosya uzantıları oluşturarak kurtarma çabalarını karmaşıklaştırır.
Önceki Lockbit sürümleri gibi, Rus dil ayarlarını veya coğrafi konumunu tespit ederken yürütmeyi sonlandıran jeopolitik önlemler içerir.
Kötü amaçlı yazılım, Windows olay izleme ve şifreleme sonrası olay günlüklerini temizlemek için EtweventWrite API’sını yama dahil olmak üzere birden fazla ormanlık önleyici teknik uygular.
Hashed hizmet adlarını sabit kodlu listelerle karşılaştırarak güvenlik hizmetlerini sistematik olarak sonlandırır.
Kod analizi evrimi ortaya çıkarır
Lockbit 4.0 ve 5.0 arasındaki karşılaştırmalı analiz, tam yeniden yazma yerine mevcut kötü amaçlı yazılımların evrimini gösteren önemli kod yeniden kullanımını gösterir.
Her iki versiyon da aynı karma algoritmalarını ve API çözünürlük yöntemlerini paylaşarak Lockbit fidye yazılımı ailesindeki sürekliliği doğrular.
Windows sürümü, temiz biçimlendirme ve ayrıntılı yardım komutlarına sahip geliştirilmiş kullanıcı arayüzü içerir ve saldırganlara şifreleme modları, dizin hedefleme ve operasyonel görünürlük ayarları dahil kapsamlı özelleştirme seçenekleri sunar.
ESXI sunucuları tipik olarak birden fazla sanal makineye ev sahipliği yaptığından, özel ESXI varyantı kurumsal ortamlar için belirli riskler oluşturmaktadır.
Başarılı saldırılar tüm sanallaştırılmış ortamları şifreleyebilir, bu da dünya çapında kuruluşlar arasında iş kesintisi potansiyelini ve fidye taleplerini önemli ölçüde artırabilir.
Lockbit 5.0, kaldırılmış geleneksel enfeksiyon belirteçleri, daha hızlı şifreleme süreçleri ve gelişmiş kaçırma özellikleri dahil olmak üzere öncekiler üzerinde çeşitli teknik iyileştirmeler göstermektedir.
Tüm varyantlardaki ağır şaşkınlık, güvenlik imzası gelişimini önemli ölçüde geciktirir ve tespiti küresel olarak güvenlik ekipleri için daha zorlayıcı hale getirir.
Windows, Linux ve ESXI varyantlarının varlığı, Lockbit’in sofistike platformlar arası stratejisini doğrular ve tam kurumsal ağlarda eşzamanlı saldırılar sağlar.
Kuruluşlar, sanallaştırma altyapısını ve kritik iş sistemlerini korumaya özellikle dikkat ederek kapsamlı çok platform savunmaları uygulamalıdır.
Şubat 2024’ün Lockbit altyapısını bozan Cronos kolluk eylemine rağmen, grup bu son sürümle dikkate değer bir dayanıklılık gösteriyor.
Hizmet olarak fidye yazılımı modeli hızla gelişmeye devam ederek Lockbit 5.0’ı önceki sürümlerden önemli ölçüde daha tehlikeli hale getirerek anında kapsamlı güvenlik güncellemeleri gerektiriyor.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.